Det er oppdaget alvorlige sikkerhetshull i Citrix NetScaler, et datasystem som er utbredt i norske virksomheter. Hackere utnytter allerede sårbarheten, som kan få store konsekvenser om ikke denne oppdateres umiddelbart.

Citrix NetScaler er et datasystem mange bedrifter bruker som sikker «inngangsport» for ekstern innlogging. Når man for eksempel logger inn fra hjemmekontor eller mobil kan datasystemet sørge for en sikker forbindelse til bedriftens interne datasystemer, blant annet tofaktorpålogging. Når brukerne er pålogget fungerer løsningen sømløst og så godt som usynlig, til tross for at det har viktig funksjon i den grunnleggende IT-infrastrukturen.

Konsekvensen av den alvorlige sårbarheten i NetScaler kan bli store, fordi datasystemet ofte er koblet til, og muliggjør videre tilgang til, en rekke andre datasystemer i bedriften. For eksempel fagsystemer, journalsystemer, økonomisystemer, lagerstyring, kassasystemer og produksjonsstyringssystemer.

Det er bekreftet at hackere allerede utnytter sårbarheten og bruker denne til å installere bakdører som gir full tilgang til bakenforliggende datasystemer, uten pålogging. Det er uvisst hvem som står bak. Cybersikkerhetseksperter frykter at angrepskoden vil bli offentlig kjent om kort tid, noe som vil føre til at antallet angrepsforsøk vil øke.

På bakgrunn av dette oppfordres alle bedrifter til å oppdatere systemene.

Videresend gjerne dette varselet til din bedrifts IT-avdeling.

Næringslivets Sikkerhetsråd er nylig utpekt av myndighetene som sektorvis responsmiljø for digital sikkerhet for næringslivet. Dette varselet er en del av denne satsingen. Trykk her for å lese mer.

Teknisk informasjon:

26. august 2025 publiserte Citrix sikkerhetsbulletin CTX694938 om tre nyoppdagede sårbarheter i NetScaler ADC og NetScaler Gateway:

• CVE-2025-7775 (CVSS: 9.2) – observert i aktiv utnyttelse
• CVE-2025-7776 (CVSS: 8.8)
• CVE-2025-8424 (CVSS: 8.7)

Nulldagssårbarheten (CVE-2025-7775) kan brukes til å installere bakdører (webshell) og etablere fotfeste i virksomheters nettverk.

Berørte systemer:

For at sårbarhetene skal kunne utnyttes, må NetScaler være konfigurert som en Gateway (VPN-virtuell server, ICA Proxy, CVPN, RDP Proxy) eller som en AAA-virtuell server.

• NetScaler ADC og NetScaler Gateway før versjon 14.1-47.48
• NetScaler ADC og NetScaler Gateway 1 før versjon 13.1-59.22
• NetScaler ADC 13.1-FIPS og NDcPP før versjon 13.1-37.241-FIPS og NDcPP
• NetScaler ADC 12.1-FIPS og NDcPP før versjon 12.1-55.330-FIPS og NDcPP
• Secure Private Access (SPA) on-premises eller hybrid, når NetScaler-instansene benyttes

Merk at versjon 12.1 og 13.0 er End of Life (EOL) og ikke lenger støttet.

Vurdering og anbefalte tiltak:

Nasjonalt cybersikkerhetssenter (NCSC) ved Nasjonal sikkerhetsmyndighet (NSM) anbefaler å installere nyeste sikkerhetsoppdateringer umiddelbart og følge anbefalinger i Citrix sitt varsel. I tillegg ønsker de tilbakemelding hvis virksomheter er berørt av utnyttelsen.

NSM anbefaler også at virksomheter, i tråd med egne rutiner, bør vurdere tiltak opp mot enheter som har vært sårbare, så lenge avkreftelse av utnyttelse ikke er mulig. Tiltak kan være å midlertidig sperre enhetene fra Internett, begrense tilgang fra internett til kun godkjente IP-adresser, flytte enhetene bak VPN og tilbakestille nøkler/sertifikater/kontoer/sesjoner på enhetene. NSM anbefaler å følge med på ytterligere informasjon fra Citrix om sårbarheten.

Ifølge cybersikkerhetsselskapet mnemonic er utnyttelsen av nulldagssårbarheten bekreftet, men det er foreløpig ingen offentlig kildekode for utnyttelsen. Mnemonic forventer at slik kode blir tilgjengelig snart, og vurderer det som sannsynlig at mange angripere da vil starte automatisk skanning og masseutnyttelse. De vurderer derfor risikoen for å være svært høy for alle NetScaler-enheter som er synlige på internett, og ikke oppdatert.

Mnemonic mener virksomheter bør anta at sårbare og eksponerte enheter allerede kan være kompromittert dersom de ikke ble patchet før offentliggjøring eller før exploit-kode dukker opp. Kombinasjonen av aktiv utnyttelse, sannsynlig rask spredning og den strategiske verdien NetScaler har for angripere, understreker alvoret i disse sårbarhetene.

Kilder:

• Sikkerhetsvarsel fra Citrix: https://support.citrix.com/external/article/694938
• Sikkerhetsvarsel fra NSM: https://nsm.no/fagomrader/digital-sikkerhet/nasjonalt-cybersikkerhetssenter/varsler-fra-ncsc/citrix-netscaler-kritisk-nulldagssarbarhet-utnyttes-aktivt
• Sikkerhetsvarsel fra mnemonic: https://www.mnemonic.io/no/resources/blog/advisory-multiple-critical-vulnerabilities-in-citrix-netscaler-adc-and-netscaler-gateway-cve-2025-7775-cve-2025-7776-and-cve-2025-8424/